数据安全规范

数据安全管理规范1范围本标准规定数据安全规范的基本要求。本标准适用于服务器机房，监控室等。3数据信息完整性3.1确保所采取的数据信息管理和技术措施以及覆盖范围的完整性。3.2应能够检测到网络设备操作系统、主机操作系统、数据库管理系统和应用系统的系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施。3.4具备完整的用户访问、处理、删除数据信息的操作记录能力，以备审计。3.5在传输数据信息时，经过不安全网络的（例如INTERNET网），需要对传输的数据信息提供完整性校验。3.6应具备完善的权限管理策略，支持权限最小化原则、合理授权。4数据信息保密性4.1数据信息保密性安全规范用于保障业务平台重要业务数据信息的安全传递与处理应用，确保数据信息能够被安全、方便、透明的使用。为此，业务平台应采用加密等安全措施开展数据信息保密性工作。4.2应采用加密效措施实现重要业务数据信息传输保密性；4.3应采用加密实现重要业务数据信息存储保密性；4.4加密安全措施主要分为密码安全及密钥安全。5密码安全要求密码的使用应该遵循以下原则a)不能将密码写下来，不能通过电子邮件传输；b)不能使用缺省设置的密码；c)不能将密码告诉别人；d)如果系统的密码泄漏了，必须立即更改；e)密码要以加密形式保存，加密算法强度要高，加密算法要不可逆；f)系统应该强制指定密码的策略，包括密码的最短有效期、最长有效期、最短长度、复杂性等；g)如果需要特殊用户的口令（比如说administrator），要禁止通过该用户进行交互式登录。6密钥安全要求6.1密钥管理对于有效使用密码技术至关重要。密钥的丢失和泄露可能会损害数据信息的保密性、重要性和完整性。因此，应采取加密技术等措施来有效保护密钥，以免密钥被非法修改和破坏；（这段说的是密钥的重要性，建议不要）6.2应对生成、存储和归档保存密钥的设备采取物理保护。（什么样的物理保护？）7密钥的管理7.1密钥产生：为不同的密码系统和不同的应用生成密钥；7.2密钥证书：生成并获取密钥证书；7.3密钥分发：向目标用户分发密钥，包括在收到密钥时如何将之激活；7.4密钥存储：为当前或近期使用的密钥或备份密钥提供安全存储，包括授权用户如何访问密钥；7.5密钥变更：包括密钥变更时机及变更规则，处置被泄露的密钥；7.6密钥撤销：包括如何收回或者去激活密钥，如在密钥已被泄露或者相关运维操作员离开业务平台部门时（在这种情况下，应当归档密钥）；7.7密钥恢复：作为业务平台连续性管理的一部分，对丢失或破坏的密钥进行恢复；7.8密钥归档：归档密钥，以用于归档或备份的数据信息；7.9密钥销毁：密钥销毁将删除该密钥管理下数据信息客体的所有记录，将无法恢复，因此，在密钥销毁前，应确认由此密钥保护的数据信息不再需要。8数据信息备份与恢复8.1备份要求8.1.1数据信息备份应采用性能可靠、不宜损坏的介质，如磁带、光盘等。备份数据信息的物理介质应注明数据信息的来源、备份日期、恢复步骤等信息，并置于安全环境保管。8.1.2一般情况下对服务器和网络安全设备的配置数据信息每月进行一次的备份，当进行配置修改、系统版本升级、补丁安装等操作前也要进行备份；8.1.3网络设备配置文件在进行版本升级前和配置修改后进行备份。8.1.4运维操作员应确保对核心业务数据每日进行增量备份，每周做一次包括数据信息的全备份。业务系统将进行重大系统变更时，应对核心业务数据进行数据信息的全备份。8.1.5备份执行过程应有详细的规划和记录，包括备份主体、备份时间、备份策略、备份路径、记录介质（类型）等。8.2备份恢复管理8.2.1运维操作员应根据不同业务系统实际拟定需要测试的备份数据信息以及测试的周期。8.2.2对于因设备故障、操作失误等造成的一般故障，需要恢复部分设备上的备份数据信息，遵循异常事件处理流程，由运维操作员负责恢复。应尽可能地定期检查和测试备份介质和备份信息，保持其可用性和完整性，并确保在规定的时间内恢复系统。8.2.3应确定重要业务信息的保存期以及其它需要永久保存的归档拷贝的保存期。8.2.4恢复程序应定期接受检查及测试，以确保在恢复操作程序所预定的时间内完成。